Konsekvensbedömning enligt GDPR
Vad är en konsekvensbedömning?
En konsekvensbedömning är en pågående och dokumenterad process som hjälper personuppgiftsansvariga att följa dataskyddsförordningen (GDPR). Processen behöver enbart göras vid behandlingar av personuppgifter som kan leda till höga risker (högriskbehandlingar). Det är inte en engångsaktivitet med ett tydligt avslut.
Processen ger ett stöd i att bedöma risker med en planerad behandling och avgöra om riskerna är proportionerliga i förhållande till syftet med behandlingen. En väl utförd och dokumenterad konsekvensbedömning är en viktig del i att följa GDPR och visa detta.
En konsekvensbedömning ska innehålla åtminstone:
- en systematisk beskrivning av den planerade behandlingen av personuppgifter och syftena med den
- en bedömning av behovet av behandlingen av personuppgifter och om intrånget den innebär står i proportion till syftena med den
- en bedömning av riskerna för fysiska personers rättigheter och friheter
- de åtgärder som planeras för att hantera riskerna och visa att GDPR följs.
En konsekvensbedömning innebär även att den personuppgiftsansvarige ska:
- rådfråga dataskyddsombudet (om ett sådant utsetts)
- kontrollera att behandlingen är förenlig med eventuella uppförandekoder som har godkänts inom den aktuella branschen
- inhämta synpunkter från de registrerade eller deras företrädare, när det är lämpligt
- genomföra en översyn för att bedöma om behandlingen genomförs i enlighet med konsekvensbedömningen, vid behov.
Kom ihåg!
Det är enbart risker för enskildas rättigheter och friheter som ska bedömas inom ramen för en konsekvensbedömning. I första hand ifråga om dataskydd och integritet, men även andra grundläggande rättigheter som exempelvis yttrandefrihet, tankefrihet, fri rörlighet, religionsfrihet och förbud mot diskriminering. Olika verksamhetsrisker ska inte bedömas inom ramen för en konsekvensbedömning.
Varför ska man genomföra en konsekvensbedömning?
Det är en skyldighet enligt gällande lagstiftning
Enligt artikel 35 i GDPR ska personuppgiftsansvariga göra en konsekvensbedömning inför en sådan ”typ av behandling” som sannolikt leder till en hög risk för fysiska personers rättigheter och friheter. Det är alltså ett uttryckligt krav enligt GDPR. Uppfylls inte kravet kan det leda till korrigerande åtgärder från IMY, till exempel sanktionsavgift.
Det är ett verktyg för personuppgiftsansvariga att uppfylla sin ansvarsskyldighet
Rätt genomförd är en konsekvensbedömning ett bra verktyg för personuppgiftsansvariga att uppfylla sin ansvarsskyldighet, det vill säga skyldigheten att följa GDPR. Genom att genomföra en konsekvensbedömning som en pågående process får personuppgiftsansvariga ett stöd i att:
- identifiera risker som behandlingen innebär för enskildas fri- och rättigheter
- bedöma riskerna och de åtgärder som är lämpliga för att minimera dem
- följa upp riskerna regelbundet
- visa att ansvarsskyldigheten uppfylls.
För att det ska vara möjligt att avgöra om det finns en skyldighet att begära förhandssamråd med IMY
Förhandssamråd med IMY ska begäras om konsekvensbedömningen visar att behandlingen skulle leda till en hög risk – trots att de planerade riskreducerande åtgärderna har beaktats.
Det bidrar till att skydda enskildas grundläggande rättigheter och friheter
Bestämmelserna om konsekvensbedömning syftar till att – i den utsträckning som är lämplig och proportionerlig – minska de risker för enskildas rättigheter och friheter (bland annat deras rätt till skydd för sina personuppgifter) som är för höga.
Vägledning vid konsekvensbedömning
IMY har tagit fram vägledning vid konsekvensbedömning. Den riktar sig till verksamheter som behandlar personuppgifter enligt GDPR och som vill ha stöd i arbetet med att genomföra konsekvensbedömningar.
En praktisk guide
Guiden ger förslag på hur en godtagbar konsekvensbedömning kan genomföras i tio steg. Den kan läsas tillsammans med de mallar som IMY tagit fram.
En praktisk guide
Guiden ger förslag på hur en godtagbar konsekvensbedömning kan genomföras i tio steg. Den kan läsas tillsammans med de mallar som IMY tagit fram.
Rättsligt tolkningsstöd
Bilagan innehåller fördjupad information om regelverket. Bland annat finns referat av tillsynsbeslut och vägledning om vilken roll dataskyddsombudet bör ha i en konsekvensbedömning.
Rättsligt tolkningsstöd
Bilagan innehåller fördjupad information om regelverket. Bland annat finns referat av tillsynsbeslut och vägledning om vilken roll dataskyddsombudet bör ha i en konsekvensbedömning.
Mallar till stöd i arbetet
IMY:s mall för bedömning av behovet av konsekvensbedömning (pdf, 304 kB)
Används som stöd i att bedöma om det finns en skyldighet att genomföra en konsekvensbedömning − Steg 1 i En praktisk guide.
IMY:s mall för konsekvensbedömning enligt dataskyddsförordningen (pdf, 411 kB)
Används som stöd i genomförandet av själva konsekvensbedömningen − Steg 3–10 i En praktisk guide.
Excelblad Riskhantering vid konsekvensbedömning (XLSX, 125 kB)
Används som stöd för att dokumentera riskhanteringen − Steg 5 i En praktisk guide.
Dokumentation
Om ni behöver mer utrymme för att svara på vissa frågor i mallarna går det bra att bifoga bilagor i Word eller annat format.
Vill du lämna feedback på vägledningen?
IMY tar gärna emot dina förslag på förbättringar av vägledningen. Till exempel om något är otydligt, saknas eller behöver fördjupas. Skicka in din feedback via e-post till: konsekvensbedomning@imy.se
Obs: e-postadressen är inte till för att ställa frågor till IMY om konsekvensbedömningar.
Begrepp som nämns på sidan